besetzt, sind die dafür eingereich-
ten Unterlagen und Daten von Be-
werbern zu löschen. Ist ein Vertrag
zwar nicht mehr aktiv, muss aber
noch für eine bestimmte Zeit zu Re-
visionszwecken aufbewahrt werden,
sollten Unternehmen jene Bestand-
teile mit personenbezogenen Daten
entfernen, die für die Revision nicht
von Belang sind.
Tipp sechs: Sie sind verantwortlich
– machen Sie sich das bewusst.
Grundsätzlich ist jedes Unterneh-
men, das personenbezogene Daten
erhebt, speichert oder nutzt, für die
Einhaltung der rechtlichen Vorgaben
verantwortlich. Datenschutz und Da-
tensicherheit sind vom Unternehmen
selbst sicherzustellen. Das gilt auch
dann, wenn Sie beispielsweise einen
externen Dienstleister beauftragen
oder eine vom Hersteller gehostete
Softwarelösung für die Datenver-
arbeitung einsetzen. Neu ist laut
DSGVO, dass der Anbieter oder so-
genannte Auftragsverarbeiter zu-
sätzlich zum Auftraggeber in der
Verantwortung steht. Achten Sie da-
rauf, wen Sie mit der Verarbeitung
der Daten beauftragen und schlie-
ßen Sie einen entsprechenden Auf-
tragsverarbeitungsvertrag. Die gute
Nachricht: Musste ein solcher Ver-
trag zwischen Auftragsverarbeiter
und dem für die Verarbeitung Ver-
antwortlichen, also dem Unterneh-
men, bisher schriftlich vorliegen, ge-
nügt laut DSGVO die elektronische
Form.
MATTHIAS KUNISCH
ist Geschäftsführer
der Forcont Business
Technology GmbH.
MICHAEL STEINER
ist
Datenschutzbeauftragter
für die Forcont Business
Technology GmbH.
die Verarbeitung für die dort be-
stimmten Zwecke erforderlich ist.
Entscheidend ist, dass die Datener-
hebung und -verarbeitung stets an
einen bestimmten Zweck gebunden
ist. Damit einher geht, dass Art und
Umfang dem Zweck angemessen
sein müssen, also nicht mehr Daten
verarbeitet werden, als für den be-
stimmten Zweck notwendig.
Tipp fünf: Löschen Sie Daten,
die ihren Zweck erfüllt haben.
Unternehmen dürfen personenbezo-
gene Daten nur so lange speichern,
wie sie notwendig sind, um den
damit verbundenen Zweck zu erfül-
lend. Ausnahmen gelten nach Art 5
Abs. 1 lit. b DSGVO für „im öffentli-
chen Interesse liegende Archivzwe-
cke, wissenschaftliche oder histori-
sche Forschungs- oder statistische
Zwecke“. Aber auch dann verlangt
die DSGVO „geeignete technische
und organisatorische Maßnahmen“,
wie etwa die Pseudonymisierung
und Verschlüsselung personenbe-
zogener Daten, um die Identität der
betroffenen Personen zu schützen.
Legen Sie deshalb unbedingt,
idealerweise automatisierte Work-
flows an, die eine Prüfung der vor-
liegenden Daten und Dokumente
vornehmen. Dadurch lässt sich der
Daten- und Dokumentenbestand
eines Unternehmens hinsichtlich
der noch vorhandenen oder bereits
erloschenen Zweckbindung einer-
seits und anhand von gesetzlichen
Aufbewahrungsfristen andererseits
aktualisieren. Hat ein Unternehmen
beispielsweise eine vakante Stelle
Unternehmen sollten
alle aktuellen Prozesse
und bestehenden Syste-
me einer eingehenden
Prüfung unterziehen
und sie gegebenenfalls
anpassen.
01/18 personalmagazin
31
